Beiträge von Paedejack105

    Mit Mega soll noch dieses Jahr der offizielle Nachfolger zur geschlossenen Filesharing-Plattform Megaupload an den Start gehen. Internetmillionär Kim Dotcom Schmitz und seine Partner haben heute gegenüber dem Wired-Magazin erste Details zu dem Dienst enthüllt. Der Mega-Service soll die Zuverlässigkeitsprobleme lösen, mit denen Cloud-Storage-Dienste häufig zu kämpfen haben und die Persönlichkeitsrechte der Internetnutzer
    Kritiker vermuten jedoch, dass sich hinter Mega schlichtweg ein Neustart des alten Megaupload-Geschäftsmodells verbirgt, der die rechtlichen Schwierigkeiten des Vorgängers ausbügeln soll. Gemeinsam haben beide Plattformen die Tatsache, dass sie Cloud-basierte One-Klick-Abo-Services sind. Nutzer können hier grosse Dateien hochladen, speichern und teilen. Das grösste neue Feature wird dabei laut Betreiber Mathias Ortmann die Verschlüsselung sein. Diese erfolgt direkt nach dem Upload per Advanced Encryption Standard (AES). Anschliessend bekommt der Nutzer einen passenden Key, mit dem sich die Datei wieder entschlüsseln lässt.

    Besagter Key wird nicht auf den Mega-Servern gespeichert. Damit sagen sich die Betreiber von jeglicher Verantwortung für den Inhalt der Upload-Pakete los, da sie diese selbst nicht öffnen können. Auch Hacker oder Regierungsvertreter könnten den Mega-Nutzern mit dem neuen Verschlüsselungsmodell nichts mehr anhaben, da sie ohne Key ebenfalls nichts mit den Files anfangen können. Die einzige Möglichkeit, den neuen Mega-Dienst dann noch zu verbieten, ist laut Kim Dotcom ein Verbot von Verschlüsselungen im Allgemeinen. Ob die Behörden das genauso sehen, bleibt jedoch abzuwarten. Ein konkreter Starttermin für Mega steht bislang noch nicht fest.


    Quelle: Pctipp.ch


    I know, dein unnötiges Tut braucht keiner, trotzdem danke. ;)

    Hey RetroTowner,

    Viele vermissen sicherliche die Zeit mit dem alten guten Ts².

    Ich suche einen Root Sponsor der mit mir Lust hätte, einen Teamspeak2 Server zu machen.

    Der Sponsor soll mitbringen:

    Skype/MSN Kontakt Möglichkeit


    Was ich mitbringe

    Erfahrung mit dem Teamspeak2
    Gute Server Einstellungen

    Update, 10. Oktober: Facebook hat sich mittlerweile zu den Vorwürfen geäussert. Es handle sich bei der Telefonnummernsuche um ein beabsichtigtes Feature und nicht um einen Bug. Zudem könne man die Einstellung ja jederzeit für sich anpassen. Um die missbräuchliche Nutzung der Suchfunktion zu verhindern, habe man ein umfangreiches System entwickelt.

    «Tatsächlich war das Ausmass des von diesem Wissenschaftler beschriebenen Szenarios begrenzt und wurde letztendlich blockiert», so eine Facebook-Sprecherin. Das mag zwar sein, erklärt aber immer noch nicht, wieso es gemäss der Schilderung von Suriya so lange gedauert hat, bis Facebook auf seine Hinweise reagierte.

    Ursprüngliche Meldung vom 9. Oktober:

    Wer auf Facebook seine Handynummer angibt, möchte sehr wahrscheinlich nicht, dass diese für jedermann sichtbar ist. Kein Problem: In den Kontaktinformationen ist sofort ersichtlich, wer alles die Handynummer sehen kann: Alle, nur Freunde oder nur man selbst. Damit müsste das Thema eigentlich vom Tisch sein.

    Versteckte Option

    Ist es aber nicht. Denn die erwähnte Option schliesst nicht aus, dass jemand über die Suchfunktion von Facebook nach der Handynummer suchen kann und auf diesem Weg auf das Facebook-Profil stösst. Zwar lässt sich die Sichtbarkeit der Handynummer in der Facebook-Suche ebenfalls deaktivieren, standardmässig ist diese Option aber aktiviert. Erschwerend kommt hinzu, dass Facebook diese Option an einem anderen Ort versteckt hat und nicht in den Kontaktinformationen. Stattdessen muss man die Privatsphäre-Einstellungen öffnen und dann auf «Funktionsweise von Verbindungen» klicken. Dort findet man dann die Option: «Wer kann dich anhand der von dir angegebenen E-Mail-Adresse oder Telefonnummer finden?». Ebenfalls wenig datenschutzfreundlich: Man kann die Option maximal auf «Freunde» beschränken, mehr geht nicht.


    Versteckt: Wer die Handynummer nicht für Suchanfragen freigeben will, muss die passende Option in den Privatsphäre-Einstellungen finden
    Das Problem ist aber, dass die meisten Leute gar keine Kenntnisse von dieser Option haben dürften, denn sie ist gut versteckt. Der unabhängige Sicherheitsforscher Suriya schreibt in seinem Blog, dass er selbst und auch die meisten in seinem Umfeld diese Einstellung nicht gekannt hätten.

    Handynummern lassen sich automatisiert abfragen

    Eine wirklich problematische Dimension nimmt die Angelegenheit aber erst an, wenn man Suriyas Ausführungen weiter verfolgt. Es ist also davon auszugehen, dass sich ein Grossteil der auf Facebook erfassten Handynummern über die Suchfunktion mit einem Profil – und somit in der Regel mit dem realen Namen des Besitzers - in Verbindung bringen lassen. Das heisst mit anderen Worten auch, dass man eine zufällige Handynummer in die Facebook-Suchmaske eingeben kann und unter Umständen den Namen des Besitzers herausbekommt. Das Problem: Dieser Vorgang lässt sich leicht mit einem Script automatisieren. Auf diese Weise könnten Kriminelle mit wenig Aufwand Hunderte oder gar Tausende von zufälligen Handynummern abfragen und würden zumindest für einen Teil davon den richtigen Namen des Besitzers erhalten.

    «Wo ist das Problem?»

    Suriya hat das Problem bereits Ende August an Facebook gemeldet. Die Antwort, die zurückkam, lautete frei übersetzt und in der Kurzfassung: «Wo ist das Problem?». In weiteren Mails versuchte der Sicherheitsforscher die Problematik darzulegen, doch er bekam keine weitere Antwort vom Facebook-Sicherheitsteam. Einen Monat später stellte Suriya fest, dass die Schwachstelle in der Suchfunktion immer noch bestand, Facebook hatte noch nichts unternommen. Erneut kontaktierte er das Unternehmen via E-Mail. Diesmal lautete die Antwort, dass die Anzahl Suchanfragen, die so abgefeuert werden können, limitiert sei. Damit sollte es also nicht möglich sein, Hunderte oder Tausende Nummern automatisiert abzufragen.

    Mobile Webseite als Schwachstelle

    Zwar gab es tatsächlich ein Limit, dieses hatte jedoch keine Gültigkeit für die mobile Webseite von Facebook. Suriya konnte also über die mobile Webseite immer noch problemlos Scripts mit Suchanfragen laufen lassen, die ihm Dutzende von Mobiltelefonnummern und deren Besitzer ausspuckte. Mit speziellen Scripts war es auch möglich, beispielsweise spezielle Nummernbereiche von bestimmten Mobilfunkanbietern abzufragen. Suriya ging noch weiter: Mit einem grossen Botnet und einem entsprechenden Script wäre es seiner Meinung nach möglich gewesen, innerhalb von ein paar Tagen sämtliche Handynummer/Namen-Kombinationen von allen Facebook-Nutzern herauszufinden – ein Traum für jeden Werber und eine Datenschutzkatastrophe für alle anderen.

    Wer nicht hören will…

    Vor vier Tagen beschloss Suriya, seine Entdeckungen öffentlich zu machen, weil Facebook noch immer nicht auf seine Hinweise reagierte. Und siehe da – ein paar Tage später hatte Facebook die Möglichkeit, Telefonnummern im grossen Stil abzufragen, unterbunden, und zwar über alle Kanäle. Spätestens nach ein paar Hundert Abfragen werde man ausgeloggt und erhalte die Meldung, dass sein Account wegen verdächtiger Aktivitäten von dieser IP-Adresse vorübergehend gesperrt wurde. Nach 24 Stunden soll man dann wieder auf seinen Account zugreifen können.

    Ob das Problem damit endgültig aus der Welt geschafft ist, sei dahingestellt. Auch mit ein paar Hundert Abfragen kann man Informationen in Erfahrung bringen, die eigentlich nicht für die Öffentlichkeit bestimmt sind. Ausserdem würde sich ein solches IP- und mengenbasiertes Limit relativ einfach umgehen lassen, wenn man die Werte kennt.

    So oder so zeigt die Geschichte aber einmal mehr, dass Facebook Sicherheits- und Datenschutzanliegen nur bedingt ernst nimmt. Wieder einmal hat es einen öffentlichen Aufschrei gebraucht, bis das soziale Netzwerk endlich reagierte.

    Quelle: PCtipp.ch

    Der neu entdeckte Wurm hat es auf Skype- und Messenger-Nutzer abgesehen und verbreitet sich seit dem letzten Samstag im Eiltempo, wie Panda Security schreibt. Die Op.fer werden mit Chat-Nachrichten in Skype oder im Windows bzw. MSN Messenger angelockt. Auf Deutsch heisst es dann beispielsweise: «Moin, kaum zu glauben was für schöne Fotos von Dir auf Deinem Profil». Unter der Nachricht befindet sich ein Link auf den Kurz-URL-Dienst goog.gl. Perfid: Der Link beinhaltet auch den Skype- resp. Messenger-Nutzernamen des Op.fers und wirkt dadurch recht seriös.

    Nachrichten werden an alle Kontakte verschickt

    Wer den Link anklickt, landet auf der Filehosting-Seite Hotfile, wo eine Datei heruntergeladen werden soll. Es handelt sich dabei um ein ZIP-Archiv. Wer dieses herunterlädt, entpackt und die darin enthaltene EXE-Datei, die sich als Skype-Setup mit dem Namen «skype_05102012_image.exe» tarnt, ausführt, tappt in die Falle. Der Wurm nistet sich dann im System ein, nimmt Kontakt zu verschiedenen Servern auf und hält Ausschau nach den Systemprozessen von Skype respektive vom Windows und MSN Messenger.

    So kommt die Nachricht im Skype-Chat daher (Bild: Panda Security)
    Sobald das Op.fer dann z.B. Skype startet, wird automatisch eine Nachricht an sämtliche Kontakte verschickt – und das Spiel beginnt von vorne. «Auf diese Weise verbreitet er sich rasend schnell unter Millionen von PCs», so Panda Security. Klever: Die Chat-Nachrichten werden automatisch in der Systemsprache des Nutzers verschickt, so heisst es auf Englisch etwa: «lol is this your new profile pic?».

    Wurm macht PCs zu Zombies

    Die Nutzung von Skype und den Messenger-Varianten als Verbreitungskanäle sorgt zwar für eine rasend schnelle Verbreitung, ist aber nicht das eigentliche Problem. Da der Wurm Verbindung zu Servern aufnehmen kann, macht er infizierte Computer zu Zombies in einem Botnet. Diese können dadurch für alle erdenklichen kriminellen Aktivitäten missbraucht werden.

    Vorsicht vor unbekannten Links!

    Panda Security hat den Wurm auf den Namen W32/SpySkype.G.worm getauft. Auch über soziale Netzwerke wie Facebook kann der Wurm sich verbreiten, warnt der Sicherheitsanbieter. Als Grundregel wird empfohlen, nie auf unbekannte Links zu klicken, selbst wenn diese auf den ersten Blick vertrauenswürdig erscheinen. Bei Kurz-URLs (goog.gl, tinyurl etc.) soll man besonders skeptisch sein, weil man dort nie weiss, was sich genau hinter dem Link verbirgt. Spätestens wenn man dazu aufgefordert wird, eine Datei herunterzuladen, sollten dann aber wirklich bei jedem die Alarmglocken klingeln.

    Quelle: Pctipp.ch